Datalekken: hoe gaat u er mee om?

In 2018 zijn er in totaal 20.881 datalekken gemeld aan de Autoriteit Persoonsgegevens gemeld. Vooral vanuit de sectoren gezondheid en welzijn, financiële en zakelijke dienstverlening, IT-sector en openbaar bestuur. In dit artikel bespreken we wat u moet doen tegen of bij datalekken, en wat we van de datalekken in 2018 kunnen leren.

Wat is een datalek?

Een datalek wordt omschreven als een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

De meest voorkomende type datalekken in 2018 waren:

  • Het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger. Denk hierbij aan een e-mail met persoonsgegevens die naar een verkeerde persoon wordt gestuurd, bijvoorbeeld door een typefout. Of een brief met gevoelige gegevens die bij de verkeerde persoon terecht is gekomen en is geopend.
  • Het kwijtraken van papieren of de diefstal van een gegevensdrager, zoals een laptop of usb-stick.
  • Verlies van gegevens door hacking, phishing of malware.

Gegevens datalek

De soorten persoonsgegevens die het meest vrijkomen bij een datalek zijn NAW-gegevens (naam, adres, woonplaats), BSN- en medische gegevens.

Wat schrijft de AVG voor?

De AVG schrijft voor dat uw organisatie bepaalde inbreuken in verband met de verwerking van persoonsgegevens, zogenaamde datalekken, moet melden bij de AP. In sommige situaties moet u ook de betrokkenen (bijvoorbeeld de klanten of werknemers) bij het datalek informeren.

Waarschuwing Autoriteit Persoonsgegevens

In 2018 heeft de Autoriteit Persoonsgegevens (AP) in veel gevallen organisaties uitleg gegeven over te nemen beveiligingsmaatregelen. Daarnaast heeft de AP acties ondernomen zoals een waarschuwing en aansturen op het beëindiging van de overtreding.

In het bijzonder zal de AP in 2019 aandacht schenken aan het ten onrechte niet of te laat melden van datalekken aan betrokkenen of aan de AP. Niet alle meldplichtige datalekken worden namelijk door organisaties gemeld. Dat wordt bijvoorbeeld duidelijk als betrokkenen melding maken van een datalek, terwijl dat door de organisatie zelf niet is gedaan. Het is dus belangrijk hier aandacht voor te hebben.

Boete Uber

In november 2018 heeft de AP vervoersdienst Uber een boete van € 600.000 opgelegd voor het willens en wetens te laat melden van een datalek. Het ging om het te laat melden aan zowel de AP als aan de betrokkenen.

Wat kunt u doen rondom datalekken?

Belangrijke zaken die u binnen uw organisatie op kunt pakken zijn:

  • Blijf aandacht geven aan het vergroten van het bewustzijn van uw medewerkers met betrekking tot het verwerken van persoonsgegevens en de risico’s hiervan.
  • Gaat het een keer fout? Zorg dan dat medewerkers het beveiligingsincident/datalek ook daadwerkelijk melden bij de intern verantwoordelijke hiervoor. U wilt voorkomen dat u aangeschreven wordt door de AP over een datalek binnen uw organisatie waar u zelf geen weet van hebt.
  • Zorg dat er een interne procedure is voor het omgaan met datalekken, zodat u precies weet wat u moet doen bij een datalek. Let op: er is een maximale aanmeldtermijn van 72 uur.
  • Registreer alle beveiligingsincidenten en (mogelijke) datalekken, analyseer deze periodiek en beoordeel wat u op basis hiervan kunt verbeteren binnen uw bedrijf.

Welke verplichtingen heeft u bij een datalek?

  • Bij een datalek moet u deze uiterlijk 72 uur nadat u er kennis van heeft genomen, melden bij de AP. Hiervoor moet u het digitale meldingsformulier op de website van de AP gebruiken.
  • Een datalek hoeft niet gemeld te worden als, zoals de AVG bepaalt, het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Dit houdt in dat het datalek geen betrekking heeft op persoonsgegevens van gevoelige aard en/of het datalek niet leidt tot ernstige nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens.
  • Wanneer een inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, moet u de betrokkene(n) direct informeren. Dit hoeft niet als u de persoonsgegevens onbegrijpelijk heeft gemaakt, zoals door versleuteling van gegevens.
  • Een (sub)verwerker, zoals een leverancier of serviceprovider, moet u, omdat u verantwoordelijke bent, direct informeren zodra hij kennis heeft genomen van een datalek, zodat u nog de gelegenheid heeft tijdig de AP te informeren.
  • U moet alle datalekken – met inbegrip van de feiten over de inbreuk in verband met persoonsgegevens, de gevolgen daarvan en de genomen maatregelen – documenteren. Dit betreft zowel datalekken die u niet heeft gemeld aan de AP als datalekken die u wel heeft gemeld. Het vastleggen kan bijvoorbeeld in een incidentenregister.

(Bron: DRV)